Home
IPSec

e-Mail an mich

Internetspezifische Angriffe

zurück     Home

Internetspezifische Angriffe

In diesem Abschnitt werden gängige Sicherheitsprobleme des Internets angesprochen und die Möglichkeiten diskutiert, diese Angriffe mittels IPSec zu verhindern.

    Abhören von Passwörtern: Durch Anmeldevorgänge werden über IP auch Benutzernamen und Passwörter übertragen, z.B. bei einem Client/Server-System. Diese Daten sind für Angreifer äußerst interessant, da sie sich so Zugang zu Systemen verschaffen können, zu denen sie keine Zugriffsberechtigung besitzen. Sensitive Daten werden mit IPSec durch den ESP geschützt. Dabei ist aber darauf zu achten, dass die Schlüssellänge ausreichend groß ist, damit eine Brute Force Attack aussichtslos ist.

    IP Spoofing: Beim IP Spoofing ändert ein Angreifer seine IP-Adresse, um z.B. an Daten heranzukommen, die nur aus einem internen Firmennetz abrufbar sind. Außerdem wird das IP Spoofing benutzt, um Spuren einer kriminellen Tat, wie z.B. den Handel mit Kinderpornografie, zu verwischen. Die Fälschung der IP-Adresse kann mit IPSec durch Verwendung des AH entdeckt und blockiert werden, da der Angreifer nicht im Besitz des entsprechenden Schlüssels ist, um einen gültigen AH zu einem gefälschten Paket zu erzeugen.

    IP Hijacking: Durch IP Hijacking übernimmt der Angreifer eine bestehende IP-Verbindung. Dieser Angriff ähnelt insofern dem IP Spoofing, als dass der Angreifer eine falsche IP-Adresse vortäuschen muss. IP Hijacking wird verwandt, um sich Zugang zu passwortgeschützen Daten zu verschaffen. Auch dieser Angriff wird durch Verwendung des AH vereitelt, da der Angreifer keinen gültigen AH zu einem gefälschten Paket erzeugen kann.

    Replay Angriff: Im Falle eines Replay Angriffs sammelt der Angreifer alte Nachrichten, um diese später gezielt wieder einzuspielen. Dies kann z.B. die Wiederholung einer finanziellen Transaktion auslösen. Die Sequenznummer in den Paketen des ESP und des AH verhindert die Wiedereinspielung von alten Daten, sofern auch die ESP-Pakete durch Authentifizierung geschützt sind, da Pakete mit einer alten Sequenznummer oder ungültigem MAC verworfen werden. Des Weiteren enthalten die Cookies Zeiteinträge, die ebenfalls einen Replay Angriff aufzeigen.

    Man in the Middle Angriff: Beim Man in the Middle Angriff setzt sich der Angreifer zwischen die zwei Kommunikationspartner, fängt deren Nachrichten ab und manipuliert diese, bevor er sie an den jeweils anderen weiterleitet. Dieser Angriff muss während des Verbindungsaufbaus stattfinden, damit der Angreifer die Nachrichten entsprechend ent- und verschlüsseln kann. Durch den Austausch von Zertifikaten kann dieser Angriff verhindert werden, da ein Angreifer nicht in der Lage sein wird, die Datenpakete mit einem fremden Schlüssel zu signieren. Dies zeigt jedoch auch, dass beim Verbindungsaufbau auf einem Zertifikatsaustausch bestanden werden sollte, um Man in the Middle Angriffen vorzubeugen. Dies lässt sich für IPSec leichter voraussetzen, als z.B. für SSL, da IPSec Verbindungen gezielt zwischen Kommunikationspartnern eingerichtet werden und diese sich vorher auf bestimmte technische Voraussetzungen einigen können. Dies ist bei Webanwendungen, wie z.B. einem Internetshop, nicht unbedingt der Fall.

    SYN Flooding: Der Angriff SYN Flooding kann als Sabotageakt betrachtet werden. Es geht darum, den Server, der Ziel dieses Angriffs ist, so zu beschäftigen, dass dieser nicht mehr seiner eigentlichen Tätigkeit nachgehen kann. Die Nachricht SYN wird bei TCP gesendet, wenn z.B. ein Client eine Verbindung mit einem Server aufnehmen will. Antwortet der Client nun aber nicht auf die Antwort des Servers, so wartet dieser im Normalfall einige Minuten, um den Verbindungsaufbau weiterzuführen. Auf diese Weise werden Ressourcen gebunden. Erhält ein Server nun viele solcher nicht ernstgemeinten Verbindungsversuche, spricht man von SYN Flooding. Mit derartigen Angriffen kann man z.B. einen Webserver gänzlich außer Gefecht setzen, was zahlreiche Beispiele der Vergangenheit belegen. Durch den Einsatz des AH wird auch dieser Angriff abgewehrt, da der Angreifer nicht in der Lage ist, für beliebig viele verschiedene IP-Adressen gültige AHs zu erzeugen. Der Angriff des SYN Flooding basiert aber gerade auf der Fälschung von IP-Adressen, um viele verschiedene Clients zu simulieren.

zurück     Home

[Home] [IPSec] [SSL] [AES-Kandidaten] [Über mich] [Links] [Gästebuch]